Video: Реклама подобрана на основе следующей информации: (November 2024)
Väčšina ľudí je až do chaosu Blackberry nezaujatá nosením statického pracovného telefónu a zábavného inteligentného telefónu, ktorý si vybrali sami. Preto veľké spoločnosti investovali značné prostriedky do správy mobilných zariadení (MDM). Ako bezpečné sú však tieto bezpečnostné nástroje? Nedávna demonštrácia Black Hat mala prekvapujúce odpovede.
Pre tých, ktorí nie sú vo veľkých spoločnostiach, umožňuje MDM podnikovým riaditeľom IT určitú úroveň kontroly nad osobnými telefónmi zamestnancov - samozrejme s ich súhlasom. MDM môže napríklad oddeľovať priestor pre dôverné údaje a inštalovať špeciálne podnikové aplikácie. Je to kritický bezpečnostný nástroj, ale Stephen Breen a Chris Camejo z NTT Com Security si myslia, že by sme sa mali pýtať niekoľko veľmi náročných otázok o tom, ako je to skutočne bezpečné.
Čo je v ohrození
Prednášajúci uviedli, že v súčasnosti existuje MDM so 180 miliónmi zariadení, ktoré používajú MDM, a očakáva sa, že do roku 2015 sa ich počet zvýši na 390 mil. zamestnanca. Väčšina z nich má prístup k firemným e-mailom.
Prostredníctvom ich penetračného testovania pár zistil nespočetné množstvo zraniteľností. Väčšina z nich bola veľmi jednoduchá, napríklad ignorovanie autentifikácie, odosielanie prihlasovacích tokenov bez šifrovania (av niektorých prípadoch ich konfigurácia nikdy nevypršala), a dokonca nastavenie scény pre komplexnejšie útoky.
Tím konštatoval, že s malým úsilím by útočník mohol získať osobné informácie alebo dokonca použiť server MDM na vymazanie nevinných telefónov. Pravdepodobne najhorším možným útokom, ktorý objavili, bolo napodobnenie legitímnej identity telefónu na útočníkovom zariadení. Telefón útočníka by teraz mohol pristupovať ku všetkému, čo dokáže: e-mail, zdieľané jednotky, dokumenty atď.
Problémom je, že mnoho rôznych predajcov urobilo rovnaké alebo podobné chyby. Probelmy sú teda endemické u rôznych poskytovateľov. Zaujímavé je, že väčšina prezentácie bola zameraná na iOS, pretože spoločnosť Apple stanovuje prísne požiadavky na vývojárov MDM. Podľa Breena sa prístup Apple javí ako zvuk.
Nezabezpečená bezpečnosť
Prednášajúci zakončili svoj rozhovor niekoľkými prekvapujúcimi radami pre divákov. Najdôležitejšie bolo, že spoločnosti by mali veľmi, veľmi starostlivo premýšľať o tom, čo nasadzujú vo svojej sieti. Možno navrhli, že sa MDM úplne vzdajú.
„Všetko zvyšuje povrch útoku, “ povedal Camejo. Môže to znieť bezcitne, ale ak dôjde k odcudzeniu telefónu jedného zamestnanca, zlodeji majú prístup iba k informáciám tohto zamestnanca. MDM však umožňuje oveľa viac poškodenia. „Vlnerable MDM server je zlý ako mobilné zariadenie bez MDM.“
Vzal tiež spoločnosti MDM za úlohu, ktorú opísal, za bezpečnosť prostredníctvom nejasností. Problémy, ktoré našli, tvrdili Camejo, nebolo ťažké odhaliť. To znamená, že ľudia jednoducho nehľadajú zraniteľné miesta, pravdepodobne z dôvodu vysokých nákladov spojených so získaním softvéru MDM.
Toto samozrejme nie je prvýkrát, čo sme videli MDM používané pre zlo. Nie je to tak dávno, čo Skycure použil na prevzatie kontroly nad mojím iPhone takzvaný škodlivý profil. Toto je jedno z riešení, ktoré môže byť horšie ako problém, ktorý chce vyriešiť.